Brug af IPSec
Brug IP Security Protocol (IPSec) til at forhindre aflytning og manipulation af IP-pakker, der sendes og modtages over et IP-netværk. Det udfører kryptering på IP-protokolniveau for at sikre sikkerhed uden at være afhængig af en applikation eller netværkskonfiguration.
Gældende betingelser og understøttede tilstande for IPSec
Pakker, som IPSec ikke er anvendt på
Pakker, der angiver en loopback-, multicast- eller broadcast-adresse
IKE-pakker, der er sendt fra UDP-port 500
ICMPv6-naboinvitations- og nabomeddelelsespakker
Driftstilstand for nøgleudvekslingsprotokol (IKE-tilstande)
De IKE-tilstande, der understøttes af maskinen, er hovedtilstanden, der bruges til at kryptere pakker og aggressiv tilstand uden kryptering.
IPSec-kommunikationstilstand
Den kommunikationstilstand, der understøttes af maskinen, er kun transporttilstanden, som kun krypterer den del, der ekskluderer IP-headeren. Tunneltilstand, som krypterer hele IP-pakken, understøttes ikke.
I overensstemmelse med FIPS 140
Under IPSec-kommunikation, uanset indstillingen [Formatkrypteringsmetode til FIPS 140], bruges der altid et krypteringsmodul, der har opnået FIPS 140-godkendelse. [Formatkrypteringsmetode til FIPS 140]
For at sikre, at IPSec-kommunikation er i overensstemmelse med FIPS 140, skal du indstille nøglelængden på både DH- og RSA-nøglerne til IPSec-kommunikation til 2048 bit eller længere i det netværksmiljø, som maskinen tilhører.
*Du kan kun angive nøglelængden for DH-nøglen på maskinen. Der er ingen indstilling for RSA-nøglen på maskinen, så tag det i betragtning, når du bygger miljøet.
Brug af IPSec med IP-adressefiltrering
Når pakker sendes, anvendes IP-adressefilterindstillingerne først. Opsætning af en firewall
Når pakker modtages, anvendes IPSec-indstillingerne først.
Konfiguration af IPSec-politikker
For at udføre IPSec-kommunikation på maskinen skal du oprette en IPSec-politik, der inkluderer det relevante område og algoritmer til godkendelse og kryptering. Politikken består hovedsageligt af følgende punkter:
Vælger
Angiv, hvilke IP-pakker der skal anvende IPSec-kommunikation. Ud over at angive IP-adressen på maskinen og kommunikerende enheder kan du også angive deres portnumre.
Driftstilstand for nøgleudvekslingsprotokol (IKE-tilstand)
Nøgleudvekslingsprotokollen understøtter Internet Key Exchange version 1 (IKEv1). For godkendelsesmetoden skal du angive enten metoden med forhåndsdelt nøgle eller metoden med digital signatur.
Forhåndsdelt nøglemetode
Denne godkendelsesmetode bruger et fælles nøgleord kaldet en delt nøgle til kommunikation mellem maskinen og andre enheder.
Denne godkendelsesmetode bruger et fælles nøgleord kaldet en delt nøgle til kommunikation mellem maskinen og andre enheder.
Digital signaturmetode
Maskinen og andre enheder autentificerer hinanden ved gensidigt at verificere deres digitale signaturer.
Maskinen og andre enheder autentificerer hinanden ved gensidigt at verificere deres digitale signaturer.
*Du skal konfigurere indstillingerne for at aktivere brugen af SNTP.
ESP/AH
Konfigurer indstillingerne for ESP- eller AH-protokollerne, der skal bruges til IPSec-kommunikation. Brug Perfect Forward Secrecy (PFS) for endnu større sikkerhed.
Konfiguration af IPSec
Aktivér brugen af IPSec, og opret og registrer derefter en IPSec-politik. Hvis der er oprettet flere politikker, skal du angive den rækkefølge, de anvendes i. Du kan oprette op til 10 politikker.
Dette afsnit beskriver, hvordan du konfigurerer indstillingerne ved hjælp af Remote UI (Brugerinterface til fjernbetjening) fra en computer.
På kontrolpanelet skal du vælge [
Indstillinger/Registr.] på skærmen [Hjem] eller en anden skærm, og derefter vælge [Præferencer] for at konfigurere indstillingerne. [Indstillinger for IPSec]
Det kræver administrator- eller netværksadministratorrettigheder.
På kontrolpanelet skal du vælge [
Indstillinger/Registr.] på skærmen [Hjem] eller en anden skærm, og derefter vælge [Præferencer] for at konfigurere indstillingerne. [Indstillinger for IPSec]Det kræver administrator- eller netværksadministratorrettigheder.
Påkrævede forberedelser
Tilslut maskinen direkte til en computer på det samme virtuelle private netværk (VPN) som maskinen. Bekræft driftsbetingelserne, og afslut indstillingerne på computeren på forhånd. IPSec
Forbered følgende i henhold til IKE-godkendelsesmetoden:
Når du bruger metoden med forhåndsdelt nøgle, skal du aktivere TLS for kommunikation med Remote UI (Brugerinterface til fjernbetjening). Brug af TLS
Når du bruger den digitale signaturmetode, skal du forberede nøglen og certifikatet til brug og konfigurere indstillingerne for at aktivere brugen af SNTP.
Når du bruger PFS, skal du kontrollere, at PFS er aktiveret på den kommunikerende enhed.
1
Log på Remote UI (Brugerinterface til fjernbetjening) som administrator. Start af Remote UI (Brugerinterface til fjernbetjening)
2
På Remote UI (Brugerinterface til fjernbetjening) portalside skal du klikke på [Settings/Registration]. Portalside for Remote UI (Brugerinterface til fjernbetjening)
3
Klik på [Network Settings].
Skærmbilledet med netværksindstillinger vises.
4
Klik på [IPSec Settings].
Skærmbilledet [IPSec Settings] vises.
5
Marker afkrydsningsfeltet [Use IPSec].
For kun at modtage pakker, der overholder politikken, skal du vælge [Reject] i [Receive Non-Policy Packets].
6
Klik på [OK].
Skærmbilledet med netværksindstillinger vises.
7
Klik på [IPSec Policy List].
Skærmbilledet [IPSec Policy List] vises.
8
Klik på [Register New IPSec Policy].
Skærmbilledet [Register Policy] vises.
9
Angiv politiknavnet, og vælg [On] i [Policy On/Off].
Indtast et navn for politiknavnet for at identificere politikken ved hjælp af alfanumeriske tegn.
10
Begræns AES-nøglelængden efter behov.
For at begrænse AES-nøglelængden til 256 bit, som når du vil opfylde CC-godkendelsesstandarder, skal du markere afkrydsningsfeltet [Only Allow 256-bit for AES Key Length].
* Canons-multifunktionsprintere understøtter to nøglelængder for AES-krypteringsmetoden: 128 bit og 256 bit.
11
Indstil vælgeren.
1
Klik på [Selector Settings].
Skærmbilledet [Selector] vises.
2
Indstil vælgeren.
[Local Address Settings] og [Remote Address Settings]
Indstil den IP-adresse, som IPSec-kommunikation skal anvendes på. Angiv IP-adressen på denne maskine i [Local Address Settings], og angiv IP-adressen for den kommunikerende enhed i [Remote Address Settings].
[All IP Addresses]
Vælg dette for at anvende IPSec på alle IP-pakker.
[IPv4 Address] eller [All IPv4 Addresses]
Vælg dette for at anvende IPSec-kommunikation på IP-pakker, der sendes og modtages med en IPv4-adresse.
[IPv6 Address] eller [All IPv6 Addresses]
Vælg dette for at anvende IPSec-kommunikation på IP-pakker, der sendes og modtages med en IPv6-adresse.
[IPv4 Manual Settings]
Vælg dette for at angive en IPv4-adresse, som IPSec-kommunikation skal anvendes på. Brug én af følgende metoder til at angive den IPv4-adresse, som indstillingerne skal anvendes på.
Når du angiver en enkelt IPv4-adresse
Vælg [Single Address], og indtast IPv4-adressen i [First Address].
Vælg [Single Address], og indtast IPv4-adressen i [First Address].
Når du angiver en række IPv4-adresser
Vælg [Range Address], og indtast IPv4-adresserne i [First Address] og [Last Address].
Vælg [Range Address], og indtast IPv4-adresserne i [First Address] og [Last Address].
Når du angiver et interval af IPv4-adresser ved hjælp af en undernetmaske
Vælg [Subnet Settings], indtast IPv4-adressen i [First Address], og indtast undernetmasken i [Subnet Settings].
Vælg [Subnet Settings], indtast IPv4-adressen i [First Address], og indtast undernetmasken i [Subnet Settings].
[IPv6 Manual Settings]
Vælg dette for at angive en IPv6-adresse, som IPSec-kommunikation skal anvendes på. Brug én af følgende metoder til at angive den IPv6-adresse, som indstillingerne skal anvendes på.
Når du angiver en enkelt IPv6-adresse
Vælg [Single Address], og indtast IPv6-adressen i [First Address].
Vælg [Single Address], og indtast IPv6-adressen i [First Address].
Når du angiver et interval af IPv6-adresser
Vælg [Range Address], og indtast IPv6-adresserne i [First Address] og [Last Address].
Vælg [Range Address], og indtast IPv6-adresserne i [First Address] og [Last Address].
Når du angiver et interval af IPv6-adresser ved hjælp af et præfiks
Vælg [Prefix Address], indtast IPv6-adressen i [First Address], og indtast præfikslængden i [Prefix Length].
Vælg [Prefix Address], indtast IPv6-adressen i [First Address], og indtast præfikslængden i [Prefix Length].
[Port Settings]
Indstil de porte, der skal anvendes IPSec-kommunikation på.
[Specify by Port Number]
Vælg dette for at bruge portnumre, når du angiver de porte, som IPSec-kommunikation anvendes på. Angiv porten på denne maskine i [Local Port], og angiv porten for den kommunikerende enhed i [Remote Port].
For at anvende IPSec-kommunikation på alle portnumre skal du vælge [All Ports].
For at anvende IPSec-kommunikation på et bestemt portnummer skal du trykke på [Single Port] og indtaste portnummeret.
[Specify by Service Name]
Vælg dette for at bruge tjenestenavne, når du angiver de porte, som IPSec-kommunikation anvendes på. Markér afkrydsningsfelterne for de tjenester, der skal anvendes IPSec-kommunikation på.
3
Klik på [OK].
Skærmbilledet [Register Policy] vises.
12
Konfigurer IKE-indstillingerne.
1
Klik på [IKE Settings].
Skærmbilledet [IKE] vises.
2
Konfigurer IKE-indstillingerne.
[IKE Mode]
Vælg driftsstatussen for nøgleudvekslingsprotokollen. Når [Main] er valgt, forbedres sikkerheden, fordi selve IKE-sessionen er krypteret, men kommunikationen er langsommere end [Aggressive], som ikke udfører kryptering.
[Validity]
Indtast den gyldige periode for IKE SA (ISAKMP SA), der skal bruges som kontrolkommunikationssti i minutter.
[Authentication Method]
Vælg maskinens godkendelsesmetode.
Hvis du vælger [Pre-Shared Key Method], skal du klikke på [Shared Key Settings] 
, indtaste strengen, der skal bruges som den delte nøgle med alfanumeriske tegn klikke på [OK].
, indtaste strengen, der skal bruges som den delte nøgle med alfanumeriske tegn klikke på [OK].Hvis du vælger [Digital Signature Method], skal du klikke på [Key and Certificate] [Use] af nøglen og certifikatet, der skal bruges.
[Use] af nøglen og certifikatet, der skal bruges.[Authentication/Encryption Algorithm]
Konfigurer godkendelses- og krypteringsalgoritmen for IKE fase 1.
For automatisk at indstille en algoritme, der kan bruges af både denne maskine og den kommunikerende enhed, skal du vælge [Auto].
For at angive en bestemt algoritme skal du vælge [Manual Settings] og konfigurere indstillingerne [Authentication], [Encryption] og indstillingerne [DH Group].
[Authentication]: Vælg hashalgoritmen.
[Encryption]: Vælg krypteringsalgoritmen.
[DH Group]: Vælg Diffie-Hellman-gruppen, der bestemmer nøglens styrke.
|
Når [IKE Mode] er indstillet til [Main], og [Authentication Method] er indstillet til [Pre-Shared Key Method]
Hvis du angiver mere end én adresse i [Remote Address Settings] i vælgerindstillingerne, gælder følgende begrænsninger, når du opretter flere politikker:
For politikker med mere end én adresse angivet skal alle delte nøgler indstilles til den samme streng.
Politikker med mere end én adresse specificeret kan ikke indstilles til en højere prioritet end politikker med en enkelt adresse specificeret.
|
3
Klik på [OK].
Skærmbilledet [Register Policy] vises igen.
13
Konfigurer IPSec-netværksindstillingerne.
1
Klik på [IPSec Network Settings].
Skærmbilledet [IPSec Network] vises.
2
Konfigurer IPSec-netværksindstillingerne.
[Validity]
Angiv den gyldige periode for IPSec SA, der skal bruges som datakommunikationssti efter tid, størrelse eller begge dele.
Hvis du markerer afkrydsningsfeltet [Time], skal du indtaste den gyldige periode i minutter.
Hvis du markerer afkrydsningsfeltet [Size], skal du indtaste den gyldige periode i megabyte.
Hvis du indstiller begge, bliver det element, der nås først, anvendt.
[PFS]
Markér dette afkrydsningsfelt for at konfigurere PFS til sessionsnøglen.
[Authentication/Encryption Algorithm]
Indstil godkendelses- og krypteringsalgoritmen til IKE fase 2.
For automatisk at indstille ESP-godkendelses- og krypteringsalgoritmen skal du vælge [Auto].
For at angive en bestemt godkendelsesmetode skal du vælge [Manual Settings] og vælge én af følgende godkendelsesmetoder.
[ESP]:
Godkendelse og kryptering udføres begge.
Vælg algoritmen i [ESP Authentication] og [ESP Encryption]. Hvis du ikke vil indstille algoritmen, skal du vælge [NULL].
Godkendelse og kryptering udføres begge.
Vælg algoritmen i [ESP Authentication] og [ESP Encryption]. Hvis du ikke vil indstille algoritmen, skal du vælge [NULL].
[ESP (AES-GCM)]:
Godkendelse og kryptering udføres begge.
AES-GCM bruges som algoritme.
Godkendelse og kryptering udføres begge.
AES-GCM bruges som algoritme.
[AH (SHA1)]:
Godkendelse udføres, men data er ikke krypteret.
SHA1 bruges som algoritme.
Godkendelse udføres, men data er ikke krypteret.
SHA1 bruges som algoritme.
[Connection Mode]
Maskinen understøtter kun transporttilstanden.
3
Klik på [OK].
Skærmbilledet [Register Policy] vises igen.
14
Klik på [OK].
Den oprettede politik føjes til skærmen [IPSec Policy List].
Når flere politikker er registreret
Vælg en politik, og klik på [Raise Priority] eller [Lower Priority] for at ændre rækkefølgen af prioriteten. Politikker på højere niveau har prioritet, når de anvendes på IPSec-kommunikation.
15
Klik på [Apply Setting Changes] [OK].
[OK].Indstillingerne er fuldført.
16
Log ud fra Remote UI (Brugerinterface til fjernbetjening).
BEMÆRK!
Redigering af registrerede politikker
For at redigere de registrerede oplysninger skal du klikke på det politiknavn, du vil redigere, på skærmen [IPSec Policy List].